Ransomware Akira: una nuova campagna colpisce i firewall SonicWall

Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira.

Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola ha subito un incremento significativo e continua a persistere. Gli aggressori ottengono l’accesso iniziale attraverso connessioni VPN SSL compromesse, riuscendo a eludere l’autenticazione multifattore (MFA). Una volta entrati nella rete, passano rapidamente alla fase di crittografia: in alcuni casi, il tempo di permanenza prima del rilascio del ransomware è stato di appena 55 minuti.

La vulnerabilità sfruttata e il ruolo delle credenziali rubate

Gli accessi abusivi sono stati collegati al CVE-2024-40766, una vulnerabilità di controllo degli accessi resa pubblica nel 2024. La principale ipotesi è che i criminali abbiano raccolto in passato credenziali da dispositivi esposti e vulnerabili, ora sfruttate anche contro apparati già aggiornati. Questo spiega perché siano stati compromessi sistemi completamente patchati, circostanza che inizialmente aveva alimentato l’ipotesi di un nuovo exploit zero-day.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un altro elemento critico riguarda la MFA OTP di SonicWall: gli attaccanti sono riusciti ad autenticarsi anche con account protetti da questa funzione, aumentando la gravità della campagna.

Tecniche e strumenti utilizzati

Una volta ottenuto l’accesso tramite VPN SSL, gli aggressori:

• avviano la scansione della rete interna per identificare porte esposte come SMB (445), RPC (135) e SQL (1433);
• utilizzano strumenti di ricognizione e movimento laterale tra cui Impacket, SoftPerfect Network Scanner e Advanced IP Scanner;
• creano nuovi account amministrativi e innalzano i privilegi di quelli già presenti;
• installano software di accesso remoto come AnyDesk, TeamViewer e RustDesk per garantire la persistenza;
• stabiliscono connessioni nascoste tramite SSH inverso e Cloudflare Tunnels.

Per ridurre le possibilità di rilevamento, gli operatori della minaccia tentano di disattivare le soluzioni di sicurezza degli endpoint, come Windows Defender ed EDR.

In alcuni casi ricorrono alla tecnica BYOVD (bring your own vulnerable driver) per compromettere i sistemi a livello di kernel ed eliminano le copie shadow del volume per impedire eventuali ripristini.

Dalla raccolta dei dati al rilascio del ransomware

Prima di avviare la crittografia, gli attaccanti esfiltrano informazioni riservate: i file vengono compressi con WinRAR ed estratti attraverso strumenti come rclone e FileZilla. Successivamente distribuiscono il ransomware Akira, tramite file eseguibili denominati akira.exe o locker.exe, crittografando le unità di rete e avviando la richiesta di riscatto.

Raccomandazioni per le organizzazioni

Gli esperti di Arctic Wolf invitano tutte le realtà che utilizzano dispositivi SonicWall ad adottare misure immediate.

In particolare, si raccomanda di reimpostare le credenziali delle VPN SSL, inclusi gli account collegati ad Active Directory, soprattutto se i sistemi in passato hanno eseguito firmware vulnerabili a CVE-2024-40766. La semplice applicazione delle patch non è considerata sufficiente se le credenziali sono già state compromesse.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli